¿Es demasiado complicada la seguridad «informática»? (Sí)

Algunos años trabajando en una empresa de seguridad física me han provocado una cierta deformación profesional, pero ya antes me sorprendía la inocencia de las personas y empresas. Por ejemplo:

  • Los que se anotan el PIN de la tarjeta en la propia tarjeta.
  • Los que se anotan todas las contraseñas (o usan la misma para todo) en el mismo sitio.
  • Los que cuando entran a casa solo cierran de golpe y no le dan, aunque sea una vuelta a la llave.
  • Los que dicen en el bar, a voces, que se van de vacaciones quince días.
  • Los compañeros que en las empresas contestan al teléfono (a alguien que no conocen), ¿fulanito?, no estará hasta el mes que viene, se ha ido al Caribe.
  • Los que dejan la llave de seguridad puesta en la grúa.

Todo es opinable, pero creo que estas actitudes son debidas a la falta de cultura de la seguridad. ¿Cuáles son las posibles razones?

Quizá somos (en una inmensa mayoría) gente de pueblo hasta hace dos generaciones, y en los pueblos (ya se sabe) no cerramos con llave, dejamos la puerta abierta, etc.  También puede ser que con tanta tecnología nos estemos haciendo más estúpidos.

¿Y por qué no ayudamos a cultivar esa cultura de seguridad? Evidentemente esto tenemos que hacerlo de manera que nos puedan entender. A un usuario “avezado”, con ciertos conocimientos de seguridad, puede resultarle sencillo entender el por qué de tanto PIN y tanta contraseña, pero el usuario de a pie no lo entiende. Y al final lo que no se entiende pierde interés .

Voces (todas ellas) más autorizadas que yo han hablado en este blog sobre lo difícil que es explicar (y que nos entiendan) lo que hacemos los que trabajamos en una empresa que se dedica a la Seguridad de la Información, o seguridad informática para el usuario de a pie. Los que no somos informáticos lo explicamos fácil; en mi caso digo que “protegemos los activos de las empresas contenidos en sus bases de datos” y me quedo tan ancho. Creo que (otra vez) no me entienden pero al menos ya me dejan cenar tranquilo.

Algo pasa; hemos de reconocer que no sabemos, no queremos o no podemos transmitir bien, lo que me recuerda un razonamiento de D. Fernando Abril Martorell (vicepresidente del gobierno en la Transición) que mantenía este diálogo con los empleados que querían explicarle algo sin conseguirlo:

P- ¿Usted cree que yo soy tonto?
R. No (respondía el interlocutor) naturalmente que no, D. Fernando.
P- ¿Entonces es usted el tonto?
R. No, claro que no (temeroso de que le rebajara la nómina).
P- Entonces, si usted me explica algo, yo lo he de entender porque ninguno de los dos es tonto, ¿no?

Y seguía con su razonamiento:

Si ninguno de los dos es tonto, y usted quiere que yo me entere, yo debería comprenderlo, y hasta ahora no lo entiendo. Entonces, una de dos: o usted no tiene ni idea del tema, o bien usted no quiere que yo me entere.

A partir de esta «conversación», está claro que:

a) SÍ sabemos de qué hablamos,
b) SÍ que queremos que el Cliente se entere, y
c) NI el Cliente ni nosotros somos tontos.

Llegados a este punto sólo encuentro una respuesta: no explicamos bien y como consecuencia no nos vendemos bien; nos cuesta convencer al empresario-dueño-usuario, que ya de entrada no se fía mucho de esos que dicen que nos van a atacar con ordenadores. Entonces, ¿por qué no nos entienden? ¿Quién es el culpable? No hay culpable. Lo que hay es una falta de cultura de seguridad y más concretamente de seguridad de la información. Por lo tanto, no nos queda otra que aprender a vender esa cultura. Y si conseguimos encontrar una forma de explicarla ese empresario-dueño-usuario desplegará sus antenas, nos escuchará y (nos compre o no) la pondrá en práctica, con lo que todos saldremos ganando.

Veamos un ejemplo concreto. Mal empezamos si para cada acceso, para cada banco, para cada administración, para el correo, para comprar entradas, para pedir cita, etc. (y en aras de la seguridad), le decimos al empresario-dueño-usuario que utilice unas claves y usuarios distintos. Esto le obligará a utilizar unos cincuenta datos distintos al día lo que no es muy cómodo que digamos. Es como si le digo a mi mujer que vamos a dar un paseo y para salir de casa he de abrir y cerrar veinte cerrojos. Al final o no salgo o mi mujer dimite o no cierro comme il faut.

¿Qué hacemos entonces? Propongo que pensemos en casos de éxito, p.ej. la seguridad física. Antes de 1980 casi nadie, a excepción de los bancos, tenía seguridad física y ahora hasta los gatitos y perritos la tienen. El volumen de negocio ha aumentado exponencialmente y el sector facturó en 2011 más de 3.233 millones de euros (Aproser-Cinco Días).

¿Por qué? ¿Qué pasó? Pues que se hicieron avances importantes en tecnología, en telecomunicaciones, etc., pero sobre todo SE HIZO FÁCIL: tres sensores que pueden ser inalámbricos, (mínimo exigido por la ley), un teclado y una sirena. Activación, un sencillo código y un uno. Desactivación, el mismo código y un dos, hasta el punto de que incluso puede hacerse con un mando a distancia. Y encima hay una regulación y una normalización que (aún siendo compleja) se llega a entender, porque por lo menos EXISTE y se puede leer.

Esto me sirve para dejar caer algunas preguntas:

  • Si trasladáramos alguno de esos planteamientos a nuestra seguridad informática, ¿servirían?
  • Si pensáramos en un procedimiento sencillo de activación, ¿sería factible?
  • Si exigimos/escribimos/proponemos una legislación a imagen y semejanza de la existente en seguridad física, ¿nos ayudaría?
  • Si incidimos en la divulgación, que nunca sobra, de lo que pasa y lo que podría haber pasado de no estar nosotros vigilando la seguridad, ¿aumentaría la cultura de la seguridad?

Podría ser. Claro que siempre podemos hacerlo difícil y morir de éxito.

Comments

  1. Muy bueno, Eusebio

  2. Maite Moreno says

    Grandes reflexiones Eusebio,

    Saludos,

  3. Aquí va otra propuesta revolucionaria para contraseñas seguras: ¡tragárselas! (y no es un fake)
    http://www.repubblica.it/tecnologia/2013/06/04/news/password_inghiottire-60284186/

  4. Maite Moreno says

    A mi también me llamó mucho la atención esa noticia Amedeo, os dejo una referencia en inglés http://allthingsd.com/20130603/passwords-on-your-skin-and-in-your-stomach-inside-googles-wild-motorola-research-projects-video/?refcat=d11

  5. Hola,

    Creo que tienes mucha razón en lo que afirmas con respecto a la educación en seguridad de la información/informática por parte de los «mortales», sin embargo nosotros como «conocedores» tenemos un gran problema, y es el hecho de que siempre hablamos en nuestra «lengua», sabiamente dice una amiga de avanzada edad: «Uds. usan términos y siglas, que no solo son raros, sino también en otros idiomas, les gusta confundir y parecer más listos a partir de ello» y.. ¡tiene razón!

    Personalmente, me he esforzado por educar a las personas cercanas a mí, en lo referente a seguridad de la información/informática a partir del uso de lo que con unos amigos llamamos «física del ciberespacio» y es, algo así como ver el mundo virtual como una extensión del mundo real, y desde luego dejando a un lado el uso de terminología que solo nosotros conocemos. Por lo tanto sería interesante que hicieramos el ejercicio de tratar de explicar las cosas de una forma sencilla, porque el texto que mencionas me recuerda la frase de Einstein que dice: «No entiendes realmente algo a menos que seas capaz de explicárselo a tu abuela».

    Un saludo.

  6. Excelentes reflexiones :)

    Especialmente divertido este párrafo: «Quizá somos (en una inmensa mayoría) gente de pueblo hasta hace dos generaciones, y en los pueblos (ya se sabe) no cerramos con llave, dejamos la puerta abierta, etc. También puede ser que con tanta tecnología nos estemos haciendo más estúpidos.»

    En el mundo en el que vivimos, lo queremos todo cada vez más fácil y rápido. El usuario normalmente no se para a pensar en las consecuencias de sus actos, sobre todo en la red.
    Está claro que si conociesen los riesgos que existen, muchos cambiarían el «chip». por ejemplo al interactuar con redes empresariales, donde a veces la negligencia de un usuario deja al descubierto una puerta aprovechable para terceros.

    Creo que como bien decís, uno de los problemas es la forma de divulgarlo. Resulta un mundo más o menos cerrado debido al argot empleado y a que en sí misma es una materia compleja para un ciudadano de a pie. Ahí hay que realizar esfuerzos.

    Por otro lado yo creo que sigue siendo problema de pasividad de las personas respecto de ciertas cosas (como se dice aquí, cerrar la puerta con llave, decir que nos vamos de vacaciones…) así que un cambio de mentalidad es necesario.

    Saludos

Trackbacks

  1. […] Algunos años trabajando en una empresa de seguridad física me han provocado una cierta deformación profesional, pero ya antes me sorprendía la inocencia de las personas y empresas. Por ejemplo: Los…  […]

  2. […] Los compañeros de Security at Work han subrayado la dificultad de mantener contraseñas seguras, en nuestros accesos a prácticamente cualquier cosa, desde el email, hasta nuestra cuenta de banca on line. El interesante post lo podéis encontrar aquí. […]